亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        信息化網(wǎng)站系統(tǒng)建設中的安全方案探討

        2021-03-07 06:22:09李大為
        網(wǎng)絡安全技術與應用 2021年9期
        關鍵詞:證書測試信息化

        ◆李大為

        信息化網(wǎng)站系統(tǒng)建設中的安全方案探討

        ◆李大為

        (中國科學技術館 北京 100012)

        隨著信息技術的發(fā)展,網(wǎng)站安全問題越來越被重視,它包含于網(wǎng)站系統(tǒng)的全生命周期流程。本文主要介紹了在信息化網(wǎng)站系統(tǒng)的建設過程中,從使用HTTPS證書、CDN服務及滲透測試服務三個方面進行網(wǎng)站系統(tǒng)安全方案的考慮。根據(jù)實際系統(tǒng)建設項目經(jīng)驗,提出網(wǎng)站系統(tǒng)建設時應重點提及的安全要求。

        網(wǎng)站建設;信息化;安全方案

        如今互聯(lián)網(wǎng)的發(fā)展帶動了各行各業(yè)的轉型和變革,“互聯(lián)網(wǎng)+”的概念深入人心,越來越多的公司嘗試通過網(wǎng)絡宣傳自己,提升服務能力,獲取更多客戶,各種各樣的網(wǎng)站應用應運而生。網(wǎng)絡科技發(fā)展的同時,也伴隨著各種攻擊、威脅和風險的發(fā)生。面對這些情況,企業(yè)更需要了解自身的安全狀況,在信息化網(wǎng)站系統(tǒng)建設時,要提前做好準備,防患于未然。

        在信息化網(wǎng)站系統(tǒng)的建設過程中,可以從以下幾個方面來減少網(wǎng)站被攻擊的可能性。

        1 使用HTTPS證書

        HTTPS即超文本傳輸安全協(xié)議,是一種網(wǎng)絡安全傳輸協(xié)議。HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的,可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議,要比HTTP更安全,可以防止數(shù)據(jù)在傳輸過程中不被竊取、改變,確保數(shù)據(jù)的安全完整性[1]。

        在網(wǎng)站安全防護中,HTTPS升級改造是不可避免地一環(huán),如果能在網(wǎng)站建設初期就規(guī)劃好,可為之后的工作減少不必要的麻煩。使用HTTPS證書,一般分為三個步驟:

        (1)申請證書,根據(jù)自身網(wǎng)站規(guī)模,購買合適的證書類型,一般分為DV域名型證書、OV企業(yè)型證書和EV增強型證書,常見的品牌有DigiCert、TrustAsia、GeoTrust等。

        (2)安裝證書,在取得證書文件之后,需要根據(jù)不同的Web服務器,將證書文件拷貝到對應文件夾下,并修改相關配置文件。

        (3)設置跳轉,當配置好HTTPS之后,對于一些還是可以直接訪問HTTP域名的用戶,這個時候就需要提前進行跳轉設置,當用戶訪問HTTP域名自動跳轉到HTTPS上。

        2 使用CDN服務

        CDN即內(nèi)容分發(fā)網(wǎng)絡,是構建在現(xiàn)有網(wǎng)絡基礎之上的智能虛擬網(wǎng)絡,依靠部署在各地的邊緣服務器,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡擁塞,提高用戶訪問響應速度[2]。包括分布式存儲、負載均衡、網(wǎng)絡請求的重定向和內(nèi)容管理四個重要部分。

        使用CDN服務不僅可以對網(wǎng)站內(nèi)容進行加速,還能夠保護網(wǎng)絡安全,有效抵御不同類型DDoS、CC攻擊。通過修改網(wǎng)站域名解析,把網(wǎng)站域名解析到CDN的CNAME上,將服務器源碼IP地址隱藏于公網(wǎng)之后,從而使網(wǎng)絡黑客無法進行攻擊和滲透操作。通過策略設置,CDN的防御機制會自動識別是否為攻擊,如果檢測到了攻擊,就會自動進行清洗過濾。比如,檢查到同一IP地址長時間不停請求訪問一個地址,可以設置其每5分鐘只能連接一次。還可以通過黑名單設置,禁止某些IP地址的訪問。

        3 進行滲透測試

        滲透測試(Penetration Test)是指安全工程師完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術,利用專業(yè)的安全掃描器和安全測試工具對目標系統(tǒng)做深入非破壞性探測,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。

        滲透測試服務能夠直觀地讓網(wǎng)站管理人員更好地知道自己網(wǎng)站所面臨的問題和安全風險,并對測試過程中發(fā)現(xiàn)的網(wǎng)站安全風險給出具體有效的修復建議,幫助解決網(wǎng)站中存在的安全問題。通過滲透測試服務可以發(fā)現(xiàn)邏輯性更強、更深層次的安全風險點。滲透測試的工作范圍主要包括:

        (1)服務器操作系統(tǒng)滲透;

        (2)數(shù)據(jù)庫系統(tǒng)滲透測試;

        (3)WEB應用系統(tǒng)滲透;

        (4)網(wǎng)絡設備滲透測試;

        (5)弱口令猜解。

        在網(wǎng)站上線前,進行一次完整的滲透測試是非常有必要的。幫助網(wǎng)站管理者提前發(fā)現(xiàn)問題,進行修復,能極大地減小安全隱患。另外,還可以安排定期進行滲透測試服務。隨著操作系統(tǒng)、中間件的版本升級,運維管理過程中,可能出現(xiàn)打補丁不及時、忘記升級軟件版本等情況,通過每年的滲透測試服務,可以及時發(fā)現(xiàn)系統(tǒng)存在的問題,保障網(wǎng)站安全穩(wěn)定運行。

        4 結語

        信息化網(wǎng)站系統(tǒng)在安全方案設計時,要保證系統(tǒng)的安全性,具備安全管理機制,保證信息存儲安全、信息傳輸和處理安全,保證系統(tǒng)能夠正常運行,不被非授權訪問,不被攻擊破壞[3]。根據(jù)實際信息化系統(tǒng)項目建設經(jīng)驗,在網(wǎng)站建設的要求,還應重點提及:

        (1)確保軟件應用與個人信息安全,遵循軟件開發(fā)安全規(guī)范,防范XSS、SQL注入、頁面組件Bug、W eb 應用漏洞、用戶登錄與隱私信息泄露等安全問題。建立完善的日志管理,做到所有操作有據(jù)可查。

        (2)控制上傳點,對于上傳文件類型進行嚴格控制(禁止用js 進行控制),同時上傳目錄不能有執(zhí)行權限,原則上不允許有未經(jīng)登錄驗證的上傳點;

        (3)設置有效的身份認證、會話管理及訪問控制機制,防止越權、平行權限及提權等(禁止利用js 進行控制及驗證)。

        (4)系統(tǒng)必須有密碼復雜度檢查模塊,密碼長度須大于8 位,含大小寫字母、數(shù)字及符號組合。

        (5)禁止在數(shù)據(jù)庫中明文存放用戶密碼、個人信息等敏感數(shù)據(jù)。

        [1]袁津生,吳硯農(nóng). 計算機網(wǎng)絡安全基礎[M].人民郵電出版社:2018.

        [2]劉長建.企業(yè)防御DDoS攻擊需要多管齊下[J].計算機與網(wǎng)絡,2017,43(14):54-55.

        [3]張瑜.信息安全技術綜述[J].電子技術與軟件工程,2020(01):243-244.

        猜你喜歡
        證書測試信息化
        WJCI 收錄證書
        CSCD收錄證書
        草原與草坪(2022年1期)2022-05-11 10:44:40
        收錄證書
        月“睹”教育信息化
        幽默大測試
        幽默大師(2020年11期)2020-11-26 06:12:12
        幼兒教育信息化策略初探
        甘肅教育(2020年18期)2020-10-28 09:06:02
        收錄證書
        “攝問”測試
        “攝問”測試
        “攝問”測試
        亚洲人成网站久久久综合| 免费成人在线电影| 特黄a级毛片免费视频| 91精品国产91久久久久久青草| 亚洲国产av午夜福利精品一区| 精品一区二区三区四区国产| 亚洲伊人色欲综合网| 精品国产高清一区二区广区| 一个人看的在线播放视频| 亚洲人成综合第一网站| 国产无套内射久久久国产| 国产极品美女高潮抽搐免费网站 | 一区二区三区免费视频网站| 新视觉亚洲三区二区一区理伦| 国产高清av在线播放| 亚洲av无码精品色午夜蛋壳| 亚洲成a人网站在线看| 青青草手机视频免费在线播放| 国产乱子轮xxx农村| 国产乱沈阳女人高潮乱叫老| 亚洲一二三四五区中文字幕 | 国产精品玖玖资源站大全| 91九色国产老熟女视频| 亚洲成av人影院| 日韩h网站| 国产成人高清亚洲一区二区| 国产午夜免费高清久久影院| 亚洲精品久久久无码av片软件| 欧美亚洲h在线一区二区| 久久中文字幕一区二区| 亚洲国产精品无码专区影院| 亚洲AⅤ永久无码精品AA| 人妻露脸国语对白字幕| 四虎国产成人永久精品免费| 乱码午夜-极品国产内射| 久草国产手机视频在线观看| 亚洲最大免费福利视频网| 亚洲欧美一区二区三区| 色哟哟av网站在线观看| 久久夜色国产精品噜噜亚洲av| 欧美成人免费全部|